Logo TecMundo
Segurança

Check Point encontra código do DeepSeek que pode virar ransomware no navegador

A Check Point avaliou milhares de arquivos associados ao DeepSeek e, entre as mais de 1 mil ameaças, descobriu uma que pode se tornar um ransomware de navegador.

Avatar do(a) autor(a): Igor Almenara Carneiro

schedule03/07/2026, às 18:30

Pesquisadores de segurança encontraram uma amostra de código gerado pelo DeepSeek que, com pouco esforço, podia ser transformada em um ransomware no navegador. O achado estava contido entre 1.383 arquivos maliciosos associados ao chatbot analisados pela Check Point, empresa americano-israelense especialista em cibersegurança.

Publicado nesta quarta-feira (1), o estudo envolveu a análise de 3 mil arquivos associados ao DeepSeek observados em dados de telemetria públicos ao longo do último ano. A base de dados continha documentos de diferentes tipos, incluindo Python, Batch, HTML, JavaScript e PowerShell. Destes, 1.383 foram considerados maliciosos ou perigosos pela detecção do VirusTotal ou análise estática da fonte.

smart_display

Nossos vídeos em destaque

Dentre os arquivos, uma amostra implementava uma técnica perigosa, nativa de navegador, cuja exploração ainda não foi observada em ambiente real. O método ficou conhecido como "In-Browser Ransomware" (algo como "Ransomware no navegador", em tradução livre). "Ele utiliza um artifício de phishing para persuadir a vítima a conceder a uma página da web acesso ao sistema de arquivos; uma vez concedido o acesso, a página pode listar arquivos locais na pasta selecionada, ler e exfiltrar seus conteúdos, criptografá-los e sobrescrevê-los, e exibir uma mensagem de resgate", descreveu Alexey Bukhteyev, autor do artigo da Check Point.

undefined
O malware se disfarça como uma ferramenta de upscaling de avatar do Discord. (Fonte: Check Point Research/Reprodução)

Para funcionar, a página não precisava instalar um payload no dispositivo, nem explorar vulnerabilidades do navegador.

Segundo o pesquisador, o risco de manipulação indevida de arquivos após a concessão de acesso já é conhecido entre desenvolvedores de navegadores – inclusive, faz parte das ressalvas de segurança da especificação da API File System Access. Portanto, a ameaça por si só não é uma novidade, mas sim a forma como a IA aparentemente juntou diferentes conceitos e métodos para criar um ataque novo, cujo impacto vai além dos limites de sandbox do browser.

"Nossa pesquisa mostra que a amostra de código original e incompleta do DeepSeek pode ser transformada em um ataque funcional com o mínimo de esforço", afirmou o líder da equipe de análise de malware da Check Point, Pedro Drimel Neto. "Ter apenas um baixo nível de expertise é suficiente [para adaptar o código]. Você não precisa ser um cibercriminoso sofisticado ou um grupo de ameaças persistente", complementou.

Amostra é conhecida como "InfernoGrabber 9000"

Essa amostra de código maliciosa é conhecida como "InfernoGrabber 9000" e mira usuários Android por meio do navegador. O VirusTotal classifica a ameaça como um ladrão de informações e um ransomware toolkit.

A Check Point não sabe exatamente como o malware foi desenvolvido, mas acredita que o prompt original tenha sido algo como: "Crie uma ferramenta maliciosa universal que rode por meio do navegador e colete o máximo possível de dados da vítima, criptografe arquivos e exija pagamento de resgate". Posteriormente, a instrução foi complementada com requisitos, como a adição de capacidades de keylogging, exfiltração de tokens de acesso do Discord e detecção de carteiras de criptomoedas.

O código gerado não faz exatamente tudo o que foi pedido. Mesmo assim, o DeepSeek teria criado uma estrutura base mais simples e embutida em uma página web. Para o usuário, o "InfernoGrabber 9000" se apresenta como uma página de upscaling de avatar do Discord.

Segundo os pesquisadores, mecanismos de segurança nativos do navegador são capazes de prevenir a maior parte das funcionalidades do malware.

Confira o estudo completo no site da Check Point Research.

Quer ficar por dentro das novidades do mundo da tecnologia? Acesse o TecMundo e acompanhe as últimas notícias sobre cibersegurança, DeepSeek e inteligência artificial.

star

Continue por aqui